Внедрение команд ОС
уязвимость существует в XWEB Pro версии 1.12.1 и более ранних версиях, что позволяет
аутентифицированный злоумышленник для достижения удаленного выполнения кода в системе путем
внедрение вредоносного ввода в поле имени файла карты во время карты
действие загрузки параметров маршрута.
Показать оригинальное описание (EN)
An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated attacker to achieve remote code execution on the system by injecting malicious input into the map filename field during the map upload action of the parameters route.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 6
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Copeland Xweb_300d_Pro_Firmware
cpe:2.3:o:copeland:xweb_300d_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_300d_Pro
cpe:2.3:h:copeland:xweb_300d_pro:-:*:*:*:*:*:*:*
|
— | — |
|
Copeland Xweb_500d_Pro_Firmware
cpe:2.3:o:copeland:xweb_500d_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_500d_Pro
cpe:2.3:h:copeland:xweb_500d_pro:-:*:*:*:*:*:*:*
|
— | — |
|
Copeland Xweb_500b_Pro_Firmware
cpe:2.3:o:copeland:xweb_500b_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_500b_Pro
cpe:2.3:h:copeland:xweb_500b_pro:-:*:*:*:*:*:*:*
|
— | — |